Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Well-Architectedを再度学習して内容をまとめてみる/well-architected
Search
Toru_Kubota
October 06, 2022
Technology
2.1k
4
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Well-Architectedを再度学習して内容をまとめてみる/well-architected
Toru_Kubota
October 06, 2022
More Decks by Toru_Kubota
See All by Toru_Kubota
制約が多いからこそ設計しがいがある!?公共領域でのAWSと生成AIの活用
toru_kubota
0
60
AWSアップデートから考える継続的な運用改善
toru_kubota
2
440
AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理
toru_kubota
1
300
ガバメントクラウド運用改善からSaaS製品の開発へ
toru_kubota
0
80
生成AI活用によるガバメントクラウド運用管理補助業務の効率化
toru_kubota
0
64
「どこにある?」の解決。生成AI(RAG)で効率化するガバメントクラウド運用
toru_kubota
4
1.2k
いつも初心者向けの記事に助けられているので得意分野では初心者向けの記事を書きます
toru_kubota
2
670
AWSの利点
toru_kubota
0
280
オンプレミス市監視村の人達と学ぶCloudWatch基礎
toru_kubota
2
890
Other Decks in Technology
See All in Technology
キャリアの中で本を作る / Making a Book During Your Career
ak1210
0
130
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
2
3.7k
関数型の考えを TypeScript に持ち込んで、テストしやすい純粋関数を増やす / Pure at the Core, Effects at the Edge: Bringing Functional Thinking into TypeScript
kaminashi
1
110
「最後に責任を取るのはチーム」— 人間のPRレビューを最小化してアップデートしたメンタルモデル
jnishime_dresscode
0
550
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
5k
kintone の AI コワーカーを、 Anthropic にエージェントを"ホストさせて"作った話 #devkinmeetup
sugimomoto
0
100
証券システムを10年Scalaで作り続けるということ - 関数型まつり2026
krrrr38
3
840
AI Driven AI Governance
pict3
0
330
個人開発で育てる「大規模設計の苗床」 - AI時代の1人開発から始める業務への知識接続 / The Seedbed for Large-Scale Design - From AI-Era Solo Projects to Professional Knowledge
bitkey
PRO
0
150
環境凍結という Toil を倒す -セルフサービス型 Ephemeral テスト環境の 設計と実践
shirouz
1
2.3k
ruby.wasmとPicoRuby.wasmに対応した仮想DOMライブラリを作ってる話 #kaigieffect_kaigi
sue445
PRO
0
140
プロンプト_きのこカンファレンス2026_LT
yurufuwahealer
0
150
Featured
See All Featured
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
320
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
23k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
201
75k
Navigating Team Friction
lara
192
16k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2.1k
Statistics for Hackers
jakevdp
799
230k
Everyday Curiosity
cassininazir
0
250
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.9k
Crafting Experiences
bethany
1
210
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
460
Building Adaptive Systems
keathley
44
3.1k
Transcript
JAWS-UG朝会 #38 2022/10/06 久保⽥ 亨 Well-Architectedを再度学習して 内容をまとめてみる
⾃⼰紹介 ⽒名︓久保⽥ 亨 職業︓インフラエンジニア
背景 Well-Architectedを適⽤したい (運⽤・セキュリティ関連を中⼼に)
背景 マルチアカウント環境にAWSベストプラクティスの適⽤ Well-Architectedを理解する Landing Zoneを理解する 検証・設計・導⼊する 本⽇の内容
Well-Architectedの6つの柱 運⽤上の優秀性の柱 ⼀般的な原則 セキュリティの柱 信頼性の柱 パフォーマンス効率の柱 コスト最適化の柱 持続可能性の柱 本⽇の内容
Well-Architectedを勉強し直した理由 AWS資格試験 の中で学習 なんとなく理解 設計・運⽤の 際に参照
Well-Architectedを勉強し直した理由 しっかり全てを読み 返す機会がない
Well-Architectedを勉強し直した理由 運⽤のフレームワークの⼀つとして ITIL SRE ISMS Well- Architected
本⽇の内容 運⽤上の優秀性の柱・セキュリティの柱 でざっくり何を⾔っているかを図解化・噛み砕いて説明
「運⽤上の優秀性」の柱
「運⽤上の優秀性の柱」の概要 運⽤上の優秀性の柱 ⼀般的な原則 設計の原則 定義 組織 進歩する セキュリティの柱 信頼性の柱 パフォーマンス効率の柱
コスト最適化の柱 持続可能性の柱 Ø 運⽤をコードとして実⾏する Ø ⼩規模かつ可逆的な変更を頻繁に⾏う Ø 運⽤⼿順を頻繁に改善する Ø 障害を予想する Ø 運⽤上の障害すべてから学ぶ 準備 運⽤する
組織の優先順位 制約条件の評価 外部顧客 内部顧客 コンプライアンス 要件(外部) ガバナンス要件 (内部) 脅威 トレードオフ評価
メリット・リスク管理 優先順位 優先順位付 顧客ニーズの評価 組織の優先順位 AWS Well-Architected Tool AWS Trusted Advisor 準備 運⽤する 組織 進歩する
運⽤モデル Ø (リソース・パフォーマンス・プロセス・⼿順に) 所有者・責任者が存在する Ø 責任と所有権を特定するためのメカニズムが存在する Ø チームメンバーが⾃らの責任範囲を把握する Ø チーム間の責任は事前定義済みまたは交渉済みである
Ø 追加、変更、例外をリクエストするメカニズムが存在する 準備 運⽤する 組織 進歩する 関係性と所有性 運⽤モデル 2×2の表現 縦 軸 Applications アプリケーション Platform インフラストラクチャ 横 軸 Engineering 開発・構築・テスト Operations デプロイ更新・ 継続的サポート
組織カルチャー 推進 権限 エグゼクティブスポンサー スキル チームメンバーにアクションを実⾏する権限が付与されている チームに適正なリソースを提供する エスカレーションが推奨されている コミュニケーションがタイムリーで明確かつ実⽤的なものである チーム内やチーム間でさまざまな意⾒が推奨され求められる
実験が推奨されている スキルセットを維持、強化することが出来推奨されている コミュニケーション 準備 運⽤する 組織 進歩する
準備 AWS Cloud VPC Public subnet Private subnet Amazon EC2
AWSCloudTrail Flow logs Amazon GuardDuty Amazon EventBridge AWS Lambda Amazon CloudWatch AWS Config AWS X-Ray AWS CodeCommit AWS CodeBuild AWS CodeDeploy AWS CodePipeline AWS Code Star AWS CloudFormation AWS Systems Manager テレメトリ設計 CI/CD パッチ管理 構成管理 ⾃動化 ランブック・プレイブック Amazon RDS Logs Amazon ECS Amazon SNS 組織 運⽤する 準備 進歩する トレーニング
運⽤する KPI特定 メトリクス定義 メトリクス収集・分析 定期的評価 イベント対応 KPI達成度検証 Amazon Athena AWS
Glue Amazon OpenSearch Service Amazon QuickSight 基準値・警告設定 アラート毎の対応 通知・ダッシュボード エスカレーション 優先度決定 対応⾃動化 AWS Personal Health Dashboard 準備 組織 運⽤する 進歩する
進歩する 学習 共有 インシデント後の分析を実⾏する 運⽤メトリクスのレビューを実⾏する インサイト検証する(分析から明らかになった事象) ナレッジマネジメントを実⾏する 教訓を⽂書化して共有する フィードバックループを実装する(調整・改善の継続的プロセス) 継続的改善のプロセスを持つ
改善の推進要因を定義する 改善 準備 運⽤する 進歩する 組織
「運⽤上の優秀性の柱」の定義 まとめ 組織 準備 運⽤する 進歩する 優先順位の決定 責任・所有者の明確化 組織カルチャー テレメトリ設計
(アプリケーション・ワークロードなど) 運⽤・デプロイ設計 (構成管理・パッチ管理・CI/CDなど) 運⽤準備 (体制・⼿順・プロセス) 指標定義 (KPI・各種メトリクス) 指標収集・分析・評価 (基準値設定・達成度測定) イベント対応 学習 共有 改善 運⽤上の優秀性の柱は継続的かつ反復的な取り組みです!!
「セキュリティ」の柱
「セキュリティの柱」概要 セキュリティの柱 ⼀般的な原則 設計の原則 定義 アイデンティティとアクセスの管理 運⽤上の優秀性の柱 信頼性の柱 パフォーマンス効率の柱 コスト最適化の柱
持続可能性の柱 Ø 強⼒なアイデンティティ基盤を実装する Ø トレーサビリティを実現する Ø すべてのレイヤーでセキュリティを適⽤する Ø セキュリティのベストプラクティスを⾃動化する Ø 伝送中および保管中のデータを保護する Ø データに⼈の⼿を⼊れない Ø セキュリティイベントに備える インシデントへの対応 検出 インフラストラクチャ保護 データ保護
アイデンティティ管理とアクセス AWS Cloud AWS Organizations IAM Access Analyzer AWS Resource
Access Manager AWS IAM Identity Center IAM Amazon Cognito AWS Secrets Manager AWS Config ガードレールの定義 ⼀元化されたIDプロバイダ 定期的な認証情報の監査 ⼀時的な認証情報 Role 最⼩権限の付与 シークレットを安全に保存 MFA token アクセス権の分析 ユーザーグループを活⽤ 緊急アクセスプロセス アクセス許可を定期削除 強⼒なサインインメカニズム インフラストラク チャ保護 データ保護 アイデンティティ 管理とアクセス インシデント 対応 検出 IAM リソースを安全に共有 アイデンティティ管理 アクセス権管理
検出 AWS Cloud AWS Security Hub Amazon GuardDuty AWS Config
Amazon Inspector Amazon Macie AWS Firewall Manager Amazon RDS Amazon EC2 Amazon CloudWatch Logs Amazon EventBridge Amazon SNS AWS Lambda IAM Access Analyzer Flow logs AWS CloudTrail ログ記録を設定 ⼀元的管理・分析 AWS Step Functions Amazon ECS ログ記録を設定 セキュリティイベントの実装 イベントの応答を⾃動化 インフラストラク チャ保護 データ保護 検出 インシデント 対応 アイデンティティ 管理とアクセス
インフラストラクチャ保護 AWS Cloud On Premise Customer gateway VPN connection AWS
Transit Gateway users VPC AWS WAF Amazon CloudFront VPC AWS Shield Advance Public subnet Private subnet Amazon Inspector AWS Systems Manager 脆弱性管理 Security group Network ACL 多層防御 NAT gateway Amazon EC2 リモートアクセス管理 Amazon RDS ソフトウェア 整合性検証 攻撃対象領域 の縮⼩ アイデンティティ 管理とアクセス データ保護 インフラストラク チャ保護 インシデント 対応 検出 ネットワークレイヤーを作成 マネージドサービスを活⽤ ネットワークの保護 コンピューティングの保護
データ保護 データ分類 保管中のデータ保護 伝送中のデータ保護 Ø ワークロード内のデータを特定 Ø データ保護コントロールを定義 Ø データのライフサイクル管理を定義
Ø 識別および分類の⾃動化 Ø 保管中に暗号化を適⽤ Ø 安全な暗号化キー管理、監査 Ø アクセスコントロールを適⽤ Ø ⼈をデータから遠ざけるメカニズム Ø 保管中のデータ保護の⾃動化 Ø 伝送中に暗号化を適⽤ Ø 安全な暗号化キー・証明書管理 Ø ネットワーク通信を認証 Ø 意図しないデータアクセス検出⾃動化 Amazon Macie AWS CloudTrail ACM AWS KMS AWS CloudHSM AWS Config Site-to-Site VPN Amazon GuardDuty Flow logs インフラストラク チャ保護 アイデンティティ 管理とアクセス データ保護 インシデント 対応 検出 IAM IAM Access Analyzer
インシデント対応 準備 シュミレーション 重要な⼈物と外部リソースの特定 (ステークスホルダー・重要な⼈物・関連する担当者) インシデント管理計画の作成 (インシデント対応⼿順・エスカレーションフロー) アクセス権を事前プロビジョニングする ツールを事前デプロイする イテレーション
ゲームデーの実施 (インデント対応シュミレーション) 封じ込めと復旧機能を⾃動化 (ツール・⾃動化による検出・調査・復旧のスピード向上) インフラストラク チャ保護 データ保護 インシデント 対応 アイデンティティ 管理とアクセス 検出 フォレンジック機能を備える 継続的な教育
「セキュリティの柱」の定義 まとめ アイデンティティ とアクセスの管理 検出 インフラ ストラクチャ保護 データ保護 ID管理 (IDの⼀元管理・安全なID管理など)
アクセス権管理 (最⼩権限の付与・ガードレールの設定など) 定期的な⾒直し (定期的な監査・分析・削除) ログ設定と⼀元管理・分析 セキュリティイベントの実装 イベント応答の⾃動化 ネットワークの保護 コンピューティングの保護 対応の⾃動化 データ分類 保管中のデータ保護 伝送中のデータ保護 インシデント対応 事前準備 (対応計画・事前プロビジョニングなど) シュミレーション 対応の⾃動化
まとめ
まとめ セキュリティの柱 アイデンティティとアクセスの管理 インシデントへの対応 検出 インフラストラクチャ保護 データ保護 運⽤の優秀性の柱 組織 進歩する
準備 運⽤する 運⽤上の障害すべてから学ぶ 障害を予測する 運⽤⼿順を頻繁に改善する ⼩規模かつ可逆的な変更を頻繁に⾏う 運⽤をコードとして実⾏する 伝送中および保管中のデータを保護する セキュリティのベストプラクティスを⾃動化する すべてのレイヤーでセキュリティを適⽤する トレーサビリティを実現する 強⼒なアイデンティティ基盤を実装する データに⼈の⼿を⼊れない セキュリティイベントに備える
まとめ Well-Architected Framework のイメージ理解に繋がれば幸いです
ご清聴いただきありがとうございます